Em vigor há pouco mais de um ano, a Lei Geral de Proteção de Dados (LGPD), teve em agosto deste ano o início da aplicação das multas às empresas que não cumprirem com as regras estabelecidas no Brasil – artigos 52, 53 e 54 que autorizam que a Autoridade Nacional de Proteção de Dados (ANPD) possa aplicar também demais sanções administrativas a empresas e órgãos públicos.
Apesar de ter sido aprovada em 2018 e as multas já estarem acontecendo, chama negativamente a atenção o fato de que muitas empresas não somente não estão preparadas para atender a regulamentação da lei, como sequer conhecem suas diretrizes.
De acordo com uma pesquisa realizada pela RD Station, empresa de tecnologia, em parceria com a Manar Soluções em Pesquisa e o Eduardo Dorfmann Aranovich e Cia Advogados, apenas 15% de 997 organizações entrevistadas se consideram prontas ou ao menos nos preparativos finais para se adequarem à LGPD. Embora 68% aleguem que conhecem ou ao menos buscam se informar sobre a Lei de Dados, quase 20% do total de participantes do estudo não realizaram nenhum tipo de adequação.
Outro levantamento, este realizado pelo Sebrae, revela que a Lei Geral de Proteção de Dados tende a se tornar uma preocupação entre os microempresários. 73% dos respondentes afirmaram que não conhecem a LGPD. Além disso, aqueles que estão familiarizados com ela disseram que não estão preparados para atender o que é exigido.
Segundo Arnaldo Mapelli, gerente comercial da Zyxel, empresa de soluções de conectividade, muitas empresas acham que os investimentos em segurança cibernética serão mais altos do que podem pagar e por conta disso adiam esse processo de adequação à legislação.
“Existem produtos e serviços para qualquer tamanho de empresa e com investimentos muito variados. Não podemos esquecer que a LGPD já está em vigor e que quanto menor o risco de vazamento, mais segura a empresa estará para desempenhar o papel dela no mercado”, afirma o executivo.
Descumprimento da LGPD
Quem descumprir a lei está sujeito a advertência, com possibilidade de medidas corretivas, multa de até 2% do faturamento, com limite de até R$ 50 milhões, o bloqueio ou a eliminação dos dados pessoais relacionados à irregularidade, suspensão parcial ou total de funcionamento do banco de dados ou a proibição parcial ou total da atividade de tratamento.
Vale destacar, também, que as empresas ao serem advertidas são obrigadas a tornarem público a transgressão cometida e também o prejuízo causado, o que pode ser um duro golpe à imagem e às finanças da marca mesmo que uma multa não tenha sido aplicada.
Até o último mês de agosto, quando a LGPD completou o seu primeiro ano em vigor, foram realizadas mais de 1.100 sentenças judiciais. Para se ter uma ideia, até julho haviam sido embasadas 600 decisões, o que mostra que com o período das sanções em vigor, a Lei de Dados, as empresas precisam acelerar seus preparativos de adequação. Os números foram recolhidos pela startup de jurisprudência Juit em parceria com o portal de notícias Metrópoles.
Como evitar aborrecimentos
Para Ricardo Mesquita, especialista em segurança da informação e gerente de TI na Howden Harmonia Corretora de Seguros, pouco se fala no que realmente importa ser feito. “É necessário fazer uma relação entre as exigências da lei e o que as empresas precisam providenciar, antes mesmo de falarmos em LGPD”, explica.
Ainda de acordo com o especialista, as empresas devem focar em três pilares para se organizar internamente: Segurança cibernética, Governança e Documentação da lei.
Mais do que nunca, as empresas precisam investir na segurança de seus ambientes computacionais, implementando ou melhorando seus firewalls, softwares de antivírus, programas de monitoramento em tempo real de todo o ambiente de rede, links de internet, sistemas de backup e sistemas de contingência, pois paradas críticas em casos de invasões e vazamentos de dados podem deixar a empresa vulnerável. “A segurança cibernética é o primeiro passo para proteger os dados e evitar a exposição inadequada dos mesmos”, informa Mesquita.
A Governança estabelece políticas claras de segurança da informação, como procedimentos de acessos a ambientes críticos, políticas de descarte de informações e de senhas, criptografia e controle de atualizações de segurança dos sistemas operacionais. “Esses são alguns dos documentos necessários para manter todo o ambiente informático sob controle, pois de nada adianta que as empresas tenham um aparato tecnológico moderno sem a gestão adequada”, esclarece.
Ainda de acordo com Mesquita, a implementação da governança de segurança em uma empresa não é simples, por isso “é recomendável contratar uma consultoria especializada para adequá-la ou seguir um framework – biblioteca de melhores práticas -, como a ISO 27001, entre outros, que podem ajudar a reunir os documentos para aplicar a governança”.
Uma recomendação importante é que haja um ‘casamento’ entre o hardware e software implementados, com instruções a todos os colaboradores sobre como utilizar os sistemas, como proceder em casos de emergências, quem deve ser acionado e quais são os caminhos para uma possível retomada em casos de perda de dados e ataques cibernéticos.
O terceiro pilar é a documentação da LGPD, última etapa deste início de adequação das empresas. “É fundamental que haja a definição de um comitê de privacidade, com a nomeação de um Encarregado de Proteção de Dados (ETD) e que seja feito o mapeamento de todos os processos internos de segurança”, diz Mesquita.
Ele complementa dizendo que “vale observar que as certificações existentes no mercado, como as ISO 27000, podem acelerar este processo, embora não sejam exigidas pela LGPD. Além de diminuir o nível de dificuldade da implementação, elas ajudam no entendimento dos funcionários, que precisam mudar de comportamento, o que nem sempre é uma tarefa fácil”.
Documentação da LGPD
Ricardo explica que existem cerca de 30 documentos, processos e formulários que as empresas precisam ter para estarem adequadas à LGPD. Um deles é o Aviso Geral de Privacidade e Proteção de Dados Pessoais, que deve constar no site da empresa.
O Comitê de Privacidade, formado por profissionais para dar apoio ao encarregado de Proteção de Dados (DPO), também deve ser informado e estar contido em um estatuto, para que todos saibam quem são os responsáveis pela Segurança Cibernética.
O especialista explica que é preciso estabelecer as políticas de gravação de dados, de compartilhamento de dados, de resposta a incidentes e preparar um questionário para fornecedores e parceiros, que também devem estar em dia com a segurança da informação.
Em caso de perda de dados ou invasão, a empresa deve preparar o Relatório de Impacto de Proteção de Dados, documento que precisa ser entregue à Agência Nacional de Proteção de Dados, caso exista qualquer perda ou invasão. É importante ressaltar que toda a equipe de funcionários precisa ser treinada para que fique claro para a auditoria que a empresa está comprometida com a proteção dos dados.
Poucas empresas se prepararam para a implementação da LGPD e, com a pandemia, alguns processos sofreram atrasos. O home office e os procedimentos inerentes ao trabalho remoto tornaram a necessidade de investir em segurança cibernética ainda maior, reforçando a adequação à lei.
Por Bruno Piai